根据定义访问列表拒绝域

Question

在 ssl_bump 处理过程中，dstdomain ACL 不会起作用。该 ACL 依赖于尚未解密的 HTTP 消息详细信息。而是提供使用 CONNECT、SNI 或服务器证书主题名称（以可用者为准）的 ssl::server_name acl 类型。

dstdomain仅检查Host:客户端发送的 -header。此功能不适用于 SSL/TLS 会话。

我们还看到以下内容ACL配置文档，在 Squid 3.5 的新功能下：

新类型 ssl::server_name 和 ssl::server_name_regex 匹配来自各种来源的服务器名称（CONNECT 授权机构名称、TLS SNI 域或 X.509 证书主题名称）。

所以 squid >3.5 支持 SNI 检查，并且可以基于 HTTPS 证书和 SNI 进行阻止。Squid 3.1 不能。

完整的 ACL 文档可以在以下位置找到：http://www.squid-cache.org/Doc/config/acl/

您需要升级到较新的 squid 版本和较新的 Ubuntu 版本。您不能指望五年前的软件能够在像互联网这样快速变化的环境中正常工作。

Answer 1

在 ssl_bump 处理过程中，dstdomain ACL 不会起作用。该 ACL 依赖于尚未解密的 HTTP 消息详细信息。而是提供使用 CONNECT、SNI 或服务器证书主题名称（以可用者为准）的 ssl::server_name acl 类型。

dstdomain仅检查Host:客户端发送的 -header。此功能不适用于 SSL/TLS 会话。

我们还看到以下内容ACL配置文档，在 Squid 3.5 的新功能下：

新类型 ssl::server_name 和 ssl::server_name_regex 匹配来自各种来源的服务器名称（CONNECT 授权机构名称、TLS SNI 域或 X.509 证书主题名称）。

所以 squid >3.5 支持 SNI 检查，并且可以基于 HTTPS 证书和 SNI 进行阻止。Squid 3.1 不能。

完整的 ACL 文档可以在以下位置找到：http://www.squid-cache.org/Doc/config/acl/

您需要升级到较新的 squid 版本和较新的 Ubuntu 版本。您不能指望五年前的软件能够在像互联网这样快速变化的环境中正常工作。

相关内容